Tag Archives: Mass claims

106e FD Column: Laat datawaakhonden de AVG niet oprekken

Deze column staat in verkorte versie in Het Financieele Dagblad van 17 februari 2023. Volg deze link voor mijn eerdere FD columns.

Toezichthouders toveren allerlei nieuwe criteria tevoorschijn die niet in de gedetailleerde privacywet AVG staan. Volgens Axel Arnbak moeten zij de spelregels niet tijdens de wedstrijd mogen veranderen.

Illustratie: Hein de kort voor Het Financieele Dagblad

Hacken is een kunstvorm die niet alleen is voorbehouden aan whizzkids en cybercriminelen. Ook simpele juristen en beleidsmakers hacken dag in dag uit, maar dan door mazen in een wet om hun zaak te bevorderen. Zo weten datatoezichthouders in hun normuitleg en handhavingsacties al decennialang nieuwe manieren te vinden om de strenge privacywetgeving verder op te rekken.

De nieuwste miljoenenboetes, opgelegd aan big techbedrijven, zijn bijvoorbeeld mede gebaseerd op algemene beginselen die niet eens in de wet zijn uitgewerkt, zoals het principe van ‘behoorlijkheid’. Uit die beginselen construeren de waakhonden compleet nieuwe criteria waaraan iedere organisatie nu ineens moet voldoen. In hun zoektocht de privacy van Europese burgers te beschermen, hacken toezichthouders zich niet zelden buiten de grenzen van de wet en zullen zij steeds vaker nat gaan bij de rechter. Continue reading 106e FD Column: Laat datawaakhonden de AVG niet oprekken

105e FD Column: Beteugel AI met constructief wantrouwen en recht

Deze column staat in verkorte versie in Het Financieele Dagblad van 3 januari 2023. Volg deze link voor mijn eerdere FD columns.

Papegaaien zijn duizendmaal minder miserabel dan wij. In zijn satirische magnum opus Candide of het optimisme (1759) waarschuwde Voltaire de mensheid al tegen het napapegaaien van ondoordacht vooruitgangsgeloof dat in de Verlichting hoogtij vierde. Tussen de regels door moest met name tijdgenoot Leibniz het ontgelden, die de vooruitgang in techniek en denken uit de Verlichting vereenzelvigde met, en dankte aan zijn alwetende God. Voltaire stelde met gevaar voor eigen leven juist de invloed en verantwoordelijkheid van de mens centraal in de ontwikkeling van technologie en de mensheid.

Illustratie: Hein de Kort voor het Financieele Dagblad

Nu 2022 de geschiedenisboeken zal ingaan als het jaar waarin kunstmatige intelligentie (‘AI’) zich op spectaculaire wijze introduceerde aan de massa, lijkt de oproep van Voltaire tot kritische zelfreflectie en zijn waarschuwing tegen vooruitgangsgeloof en berusting in almachtige krachten actueler dan ooit.

Al jaren wijzen experts op de stormachtige ontwikkeling, kansen en risico’s van AI. Maar de afgelopen weken kwam de zelflerende software van AI ineens naar de mensen toe. Met tools als de kunstmatig intelligente tekstgenerator ChatGPT en dito plaatjesmaker Dall E2 kan iedere internetgebruiker zonder voorkennis of duur abonnement in een paar tellen fantastische teksten, afbeeldingen en filmfragmenten creëren. Dit roept grote existentiële en kleine praktische vragen op over onze relatie tot AI: nemen de machines het over van de mens? Hebben tekstschrijvers, illustrators, of aanpalende professies als wetenschappers en advocaten straks nog wel werk, en scholieren nog wel huiswerk? Is het religieuze vooruitgangsgeloof à la Leibniz dat je vaak uit Silicon Valley hoort op zijn plaats, moet ChatGPT verboden worden, of gaat de aanstaande AI wetgeving van de Europese Unie de mensheid redden van een algoritmische apocalyps? Met Voltaire zijn wij vooral gebaat bij een hernieuwde relatie tot technologie gebaseerd op constructief wantrouwen, en waar nodig gepaste regulering, als panacee tegen de stormachtige opkomst en uitwassen van AI. Continue reading 105e FD Column: Beteugel AI met constructief wantrouwen en recht

98e FD Column: Massaclaims lang niet altijd kansrijk

Deze column staat in Het Financieele Dagblad van 11 februari 2022. Volg deze link voor mijn eerdere FD columns.

Ook al is de AVG geschonden, zonder concrete schade krijg je geen cent, schrijft advocaat Axel Arnbak in zijn expertbijdrage. Dat is een grote barrière voor het succes van de gevreesde massaclaims: het individu moet de geleden schade zelf bewijzen én aantonen dat die schade tastbaar is.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Privacy prijkt deze week weer prominent op de pagina’s van de landelijke pers. Maandag berichtte het FD over Nederland als mondiaal epicentrum voor de hausse aan schadeclaims over privacy. Dinsdag stond deze krant, tot aan de voorpagina, bol van het nieuws dat het verdienmodel van 80 procent van alle Europese websites pardoes onder druk zou staan, nadat de Belgische datatoezichthouder een veelgebruikte methode voor het verzamelen van toestemming voor persoonsgebonden online advertenties in strijd verklaarde met de strenge privacywet AVG. Alle adverteerders moeten nu vrezen voor massaclaims van miljoenen internetgebruikers in Nederland, was de omineuze ondertoon van advocaten op woensdag in deze krant.

In alle berichtgeving over boete, schuld en schade bleef een recente en relevante uitspraak van de hoogste bestuursrechter in Nederland gek genoeg onder de radar van de pers. In de nasleep van een ordinaire burenruzie over een camper, stalking en een datamisser van de gemeente Eindhoven, bevestigde de Afdeling bestuursrechtspraak van de Raad van State op 26 januari nog maar eens dat de lat voor het toekennen van schadevergoeding vanwege een AVG-schending torenhoog ligt in Nederland. Ook al is de AVG geschonden, zonder concrete gevolgen krijg je geen cent. Bovendien draag je als klager ook nog eens de bewijslast. Kortom, waar claimstichtingen en journalisten zich vol enthousiasme storten op dataschadeclaims, zijn rechters juist terughoudend. Continue reading 98e FD Column: Massaclaims lang niet altijd kansrijk

93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

Deze column staat in Het Financieele Dagblad van 14 september 2021. Volg deze link voor mijn eerdere FD columns.

Het privacyrecht vereist dat een website je informeert over wat er met je data gebeurt. Dit leidt tot een steeds grotere overkill aan privacyvoorwaarden. Politici moeten beseffen dat de transparantieverplichtingen uit de AVG geen wondermiddel zijn. Ze moeten veel nadrukkelijker meebeslissen hoe privacy te borgen in onze datasamenleving, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Bent u van plan het privacybeleid te lezen van elke website die u bezoekt? Wetenschappers becijferden al in 2010 dat u daarvoor minimaal 76 werkdagen per jaar nodig hebt. En als het aan de gezamenlijke Europese datatoezichthouders ligt, hebt u voortaan nóg meer tijd nodig om te lezen wat welke organisatie op het wereldwijde web met uw data doet, en waarom.

Op 2 september publiceerde de Ierse datawaakhond onder mondiale media-aandacht zijn besluit om een forse boete, van €225 mln, op te leggen aan berichtendienst WhatsApp. Het privacybeleid van WhatsApp zou niet voldoen aan de strenge transparantievereisten uit de roemruchte Europese datawet AVG. Het besluit heeft niet alleen voor WhatsApp, maar voor iedereen verregaande gevolgen: het tijdperk van honderden pagina’s tellende privacyvoorwaarden is aanstaande. Continue reading 93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

Selected as one of Global Data Review’s “40 under 40”

GDR: Brazil to make credit score registration automatic - VMCA

In its infinite wisdom, the Global Data Review recently selected me for their “40 under 40” publication. With 40 under 40, GDR profiles
“individuals under the age of 40, hailing from around the world, who represent the best of the upcoming generation of data lawyers”, according to the award report.

As with all of these sort of publications and awards in the legal profession, your firm tries hard to get you on the list. So the selection is not entirely coincidental, and candidates that enjoy the support of their respective employers obviously have an edge (thanks, De Brauw). Still, it’s nice to browse the list of laureates and read their interviews, especially if you’re looking for a particular skill or help in a jurisdiction you’re not directly familiar with. My interview is copied below. Continue reading Selected as one of Global Data Review’s “40 under 40”

79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

Deze column staat in Het Financieele Dagblad van 23 juli 2020. Volg deze link voor mijn eerdere FD columns.

In de wereld van intercontinentaal dataverkeer heeft de Europese Commissie (EC) al decennia patent op juridische luchtkastelen, dansen op de vulkaan en gezichtsverlies. Het Europees Hof van Justitie (EU-Hof) heeft er schoon genoeg van. Vorige week vernietigde het EU-Hof voor de tweede keer een bilaterale deal (Schrems II) voor datatransport tussen Europa en de Verenigde Staten, het zogenaamde Privacy Shield. Eind 2015 had het EU-Hof de voorloper al verpulverd (Schrems I).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Daarnaast formuleerde het EU-Hof strenge algemene criteria voor alle andere mechanismen, waaronder data-export naar alle andere landen buiten de EU. Bovendien verduidelijkte het Hof dat de datatransporterende organisaties zelf verantwoordelijk – en dus aansprakelijk – zijn wanneer een datatransport niet aan die strenge criteria voldoet.

‘De geopolitieke en economische gevolgen van de uitspraak van het EU-Hof vorige week zijn reusachtig’

Wereldwijd, ook vorige week in het FD, spreken juridische experts de hoop uit dat de EC nu eindelijk burgers en bedrijven te hulp schiet door de Amerikaanse overheid ervan te overtuigen de privacy van Europeanen te respecteren. Die ijdele hoop miskent de decennialange onmacht van de Europese Unie (EU) om ook maar iets betekenisvols af te dwingen in Washington. De Amerikaanse overheid luistert wél naar het Amerikaanse bedrijfsleven. Zonder de door het EU-Hof gevraagde verbeteringen in Amerikaanse wetgeving riskeren zij, en hun Europese zakenpartners, megaboetes en massaschadeclaims vanwege schending van Europese privacywetgeving. Niet de EC, maar het multinationale bedrijfsleven is onze enige kans op respect van de Amerikaanse, Chinese, binnenkort de Britse en welke niet-Europese overheid dan ook voor Europese datagrondrechten. Continue reading 79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

Deze column staat in Het Financieele Dagblad van 28 mei 2020. Volg deze link voor mijn eerdere FD columns.

Wat is twee jaar op een wetgevingsleven? Op de tweede verjaardag van de strenge privacywet AVG (Algemene Verordening Gegevensbescherming) keken toonaangevende media deze week wat somber in de achteruitkijkspiegel. De AVG zou haar belofte van privacybescherming niet waarmaken, vooral omdat megaboetes door onderbezette privacytoezichthouders uitblijven.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Verrassend genoeg kijkt vrijwel niemand door de voorruit naar wat de AVG nog in petto heeft. Toezichthouders beloven dat de megaboetes zullen komen. Het toezicht europeaniseert. Bovendien staan wij aan de vooravond van een fascinerende aardverschuiving. Van onderbezette toezichthouders verplaatst het initiatief zich stilaan naar grote groepen burgers en gretige ondernemers, die via massaschadeclaims bij de rechter hun gram en geld zullen eisen voor schendingen van de AVG. Data-gedreven organisaties schieten zichzelf in de voet als zij na de sombere tussenrapporten van deze week op hun lauweren rusten. Het echte werk begint nu pas. Continue reading 78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

Deze column staat in Het Financieele Dagblad van 1 mei 2020. Volg deze link voor mijn eerdere FD columns.

In hun poging Nederland van het corona-slot te halen en de winkel te openen kregen beleidsmakers er recent een nieuwe kopzorg bij. ‘s Lands hoogste bestuursrechter, de Raad van State, verduidelijkte namelijk dat burgers na privacyschendende overheidsbesluiten schadevergoeding kunnen claimen op grond van de Europese privacywet AVG.

 

Illustratie: Hein de Kort voor het Financieele Dagblad

 

Als daadwerkelijke schade ontstaat door ondoordachte datafantasieën van de staat, bijvoorbeeld omdat miljoenen mensen vanwege een onjuiste immuniteitstest of corona-app ten onrechte inkomsten missen, dan bloedt de overheid niet alleen in de media maar ook in de portemonnee. Waarschijnlijk onbewust creëert de Raad van State hiermee een welkome extra prikkel voor de Nederlandse overheid voor doordacht, zorgvuldig en grondrechten respecterend beleid in dit unieke coronatijdperk waarin een nieuw maatschappelijk schisma zich aftekent.

Immers, naast conventionele sociale scheidslijnen als inkomen, etniciteit en geslacht bepaalt straks immuniteit tegen het coronavirus de economische waarde en sociale kansen van burgers in het maatschappelijk verkeer. Van massaal testen van burgers, via temperatuurmetingen op de werkplek tot ‘immuniteitspaspoorten’, data en technologie helpen binnenkort bepalen wie volledige bewegingsvrijheid krijgt, wie voorzorg moet betrachten en wie zichzelf wekenlang moet opsluiten. Ontstaat zo een nieuwe klassenverdeling in de samenleving, met de Immunen als Übermensch? Continue reading 77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

By popular demand, here is a quick and dirty translation of my column in the Dutch Financial Times of 25 July 2019. Follow this link for other columns (in Dutch).

What does a simple privacy breach actually cost? This straightforward question has been the subject of heated academic debate for decades. Recently, a Dutch district court gave the municipal authority of Deventer a short and effective answer: EUR 500,- plus legal costs.

The municipal authority of Deventer is probably able to pay up. However, governments and companies who process personal data of millions of people feel the heat. The stringent EU General Data Protection Regulation (GDPR), particularly in combination with the renewed Dutch Class Action (Final Settlement) Act and an international court procedure created in The Netherlands, create fertile ground in the Lower Countries for mass claims litigation lodged by international interest groups. Such collectives are now able to credibly claim EUR 500 per affected person for a simple privacy breach. Multiply that, or even EUR 50, with millions of end users, and the funk may soon hit the fan for large organisations that violate privacy laws on a large scale.

Enforcement actions by understaffed Data Protection Authorities (DPAs) have been few and far between in Europe for the past twenty years. However, funding is increasing for DPAs, as is their authority to issue fines that may even amount up to 4% of global annual turnover of a company. Especially the combination of such enforcement actions and mass claims litigation will become a game changer for privacy protections in Europe, and will force large companies and governments to handle our data in line with applicable laws, the GDPR in particular.

Visual: Max Kisman for Het Financieele Dagblad

Continue reading 68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

68e FD Column: Met toekenning hoge schadevergoeding geeft rechter startschot voor massaclaims privacy

Deze column staat in Het Financieele Dagblad van 25 juli 2019. Volg deze link voor mijn eerdere FD columns.

Wat kost een basale privacyschending? Deze simpele vraag is al decennialang onderwerp van hevig academisch debat. Recent gaf een rechter ineens een kort en krachtig antwoord aan de gemeente Deventer: €500, plus proceskosten. Voor Deventer allicht betaalbaar, maar datagulzige overheden en bedrijven die persoonsgegevens van miljoenen burgers of consumenten verwerken, zijn gewaarschuwd. Zeker nu de strenge privacywet AVG en de vernieuwde Wet collectieve afwikkeling massaschade (WCAM) juist in Nederland een vruchtbare bodem creëren voor massaclaims door stichtingen, die nu €500 per getroffen persoon kunnen claimen voor een basale privacyschending. Handhaving van privacywetten door onderbezette datatoezichthouders is de afgelopen twintig jaar overal in Europa achtergebleven. Maar de combinatie van zulk toezicht met civiele massaclaims, lijkt de komende jaren meer kans te maken dataslurpers te dwingen zorgvuldiger met onze data om te gaan.

 

Illustratie: Max Kisman voor Het Financieele Dagblad

Continue reading 68e FD Column: Met toekenning hoge schadevergoeding geeft rechter startschot voor massaclaims privacy